Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autorizzazioni IAM necessarie per la creazione o l'uso di una policy di protezione dei dati
<a name="data-protection-policy-permissions"></a>

Per poter utilizzare le policy di protezione dei dati per i gruppi di log, è necessario disporre di determinate autorizzazioni, come mostrato nelle tabelle seguenti. Le autorizzazioni sono diverse per le policy di protezione dei dati a livello di account e per quelle che si applicano a un singolo gruppo di log.

## Autorizzazioni necessarie per le policy di protezione dei dati a livello di account
<a name="data-protection-policy-permissions-accountlevel"></a>

**Nota**  
Se si esegue una di queste operazioni all'interno di una funzione Lambda, il ruolo di esecuzione Lambda e il limite delle autorizzazioni devono includere anche le seguenti autorizzazioni.



- ** **Crea una policy di protezione dei dati senza destinazioni di verifica** **
  - **Autorizzazione IAM necessaria:** `logs:PutAccountPolicy` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:PutDataProtectionPolicy` / **Risorsa:** `*`

- ** **Crea una politica di protezione dei dati con CloudWatch Logs come destinazione di controllo** **
  - **Autorizzazione IAM necessaria:** `logs:PutAccountPolicy` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:PutDataProtectionPolicy` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:CreateLogDelivery` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:PutResourcePolicy` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:DescribeResourcePolicies` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:DescribeLogGroups` / **Risorsa:** `*`

- ** **Crea una politica di protezione dei dati con Firehose come destinazione di controllo** **
  - **Autorizzazione IAM necessaria:** `logs:PutAccountPolicy` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:PutDataProtectionPolicy` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:CreateLogDelivery` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `firehose:TagDeliveryStream` / **Risorsa:** `arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}`

- ** **Crea una policy di protezione dei dati con Amazon S3 come destinazione di verifica** **
  - **Autorizzazione IAM necessaria:** `logs:PutAccountPolicy` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:PutDataProtectionPolicy` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:CreateLogDelivery` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `s3:GetBucketPolicy` / **Risorsa:** `arn:aws:s3:::{{YOUR_BUCKET}}`
  - **Autorizzazione IAM necessaria:** `s3:PutBucketPolicy` / **Risorsa:** `arn:aws:s3:::{{YOUR_BUCKET}}`

- ** **Smaschera i log eventi mascherati in un gruppo di log specificato** **
  - **Autorizzazione IAM necessaria:** `logs:Unmask`
  - **Risorsa:** `arn:aws:logs:::log-group:*`

- ** **Visualizza una policy di protezione dei dati esistente** **
  - **Autorizzazione IAM necessaria:** `logs:GetDataProtectionPolicy`
  - **Risorsa:** `*`

- ** **Elimina una policy di protezione dei dati** **
  - **Autorizzazione IAM necessaria:** `logs:DeleteAccountPolicy` / **Risorsa:** `*`
  - **Autorizzazione IAM necessaria:** `logs:DeleteDataProtectionPolicy` / **Risorsa:** `*`



Se i log di controllo della protezione dei dati sono già stati inviati a una destinazione, le altre policy che inviano i log alla stessa destinazione richiedono solo le autorizzazioni `logs:PutDataProtectionPolicy` e `logs:CreateLogDelivery`.

## Autorizzazioni necessarie per le policy di protezione dei dati per un singolo gruppo di log
<a name="data-protection-policy-permissions-loggroup"></a>

**Nota**  
Se si esegue una di queste operazioni all'interno di una funzione Lambda, il ruolo di esecuzione Lambda e il limite delle autorizzazioni devono includere anche le seguenti autorizzazioni.


| Operation | Autorizzazione IAM necessaria | Risorsa | 
| --- | --- | --- | 
| Crea una policy di protezione dei dati senza destinazioni di verifica | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| Crea una politica di protezione dei dati con CloudWatch Logs come destinazione di controllo | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`logs:PutResourcePolicy`<br />`logs:DescribeResourcePolicies`<br />`logs:DescribeLogGroups` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`*`<br />`*`<br />`*` | 
| Crea una politica di protezione dei dati con Firehose come destinazione di controllo | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}` | 
| Creazione di una policy di protezione dei dati con Amazon S3 come destinazione di controllo | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`s3:GetBucketPolicy`<br />`s3:PutBucketPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`arn:aws:s3:::{{YOUR_BUCKET}}`<br />`arn:aws:s3:::{{YOUR_BUCKET}}` | 
| Smascheramento di eventi di log mascherati | `logs:Unmask` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| Visualizzazione di una policy di protezione dei dati esistente | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| Elimina una policy di protezione dei dati | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 

Se i log di controllo della protezione dei dati sono già stati inviati a una destinazione, le altre policy che inviano i log alla stessa destinazione richiedono solo le autorizzazioni `logs:PutDataProtectionPolicy` e `logs:CreateLogDelivery`.

## Policy di protezione dei dati di esempio
<a name="data-protection-policy-sample"></a>

La seguente policy di esempio consente a un utente di creare, visualizzare ed eliminare policy di protezione dei dati in grado di inviare i risultati del controllo a tutti e tre i tipi di destinazioni di controllo. Non consente all'utente di visualizzare dati non mascherati.

------
#### [ JSON ]

****  

```
 
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowLogDeliveryConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDataProtectionAndBucketConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
            "arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/{{delivery-stream-name}}",
            "arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}",
            "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}:*"
            ]
        }
    ]
}
```

------